網際網路+時代,越來越多的消費和支付從線下轉移至網際網路。而春節紅包大戰,以及Apple Pay的高調入華,更讓移動支付日益普及。但隨之滋生的,是日益增多的網際網路支付安全風險。
2015年7月,中國網際網路協會發布的《中國網民權益保護調查報告(2015)》顯示,中國網際網路使用者近一年來因個人資訊洩露、詐騙資訊等問題,導致總體損失約805億元。
網際網路支付的安全問題已經不容小覷。這背後的黑色渠道和利益鏈是怎樣實現的?網際網路支付安全的未來又在哪裡?
網路支付的陰雲
安全風險始終成為籠罩在網際網路支付之上的一層陰雲。
從傳送釣魚網站連結到病毒木馬植入,網際網路使用者的銀行賬戶、社交軟體賬號等核心資訊被非法竊取,錢包正在遭遇空前危機。
據《華夏時報》記者瞭解,釣魚網站主要是採用模仿正規網站域名、篡改正規網站頁面等方式,得到使用者提供的銀行卡號、密碼、賬戶等資訊。
有業內人士對記者表示,其實無論怎樣偽裝,釣魚網站的詐騙都有幾個常規步驟:誘導使用者點選陌生連結,然後跳轉至釣魚網站,得到個人資訊、銀行卡賬號及密碼,再透過木馬攔截使用者手機來自銀行的驗證碼及消費提示進行盜刷。
而隨著智慧手機的普及,釣魚網站也逐漸瞄準了移動支付領域。
獵豹安全專家李鐵軍對記者表示,這幾年手機端的釣魚網站明顯增多。“最常見的還是透過偽基站傳送簡訊。在我們見到的直接造成財產損失的案例中,佔絕對主流。”
“對方透過偽基站的方式進行簡訊群發,偽造假銀行網站的非常多,基本國內的商業銀行都被模仿過。”他對記者說。
而來自騰訊的《2015網際網路安全報告》也顯示,在釣魚網站的分佈上,除了傳統的虛假網購、中獎詐騙外,仿冒手機銀行、運營商的釣魚網站開始呈現爆發式增長。此外,仿冒證券公司的虛假投資網站也在2015年達到高峰。
面對移動支付安全問題頻發的情況,李鐵軍對記者表示,手機的防範難度很高,這個跟手機和電腦系統的差異有關係。電腦防毒軟體的許可權很高,但手機不一樣。例如蘋果就可能不會有任何這方面的提醒。
此外,透過惡意連結、二維碼以及偽裝APP將木馬植入手機,也是一種重要方式。
春節期間的紅包大戰已經洩露了紅包木馬的巨大能量。
據記者瞭解,搶紅包神器、紅包大盜等木馬透過竊取使用者社交賬號及密碼,或者以偽APP等方式做為入口,植入手機木馬病毒,留存使用者銀行卡號、身份證號等敏感資訊後,從而對使用者的銀行卡進行盜刷。
騰訊釋出的上述報告顯示,目前手機上常見的支付病毒有10種,其中16.81%的支付類病毒會隱藏自己的真實目的,以躲避安全軟體的查殺。此外,竊取隱私資料的支付病毒佔比則達到14.80%。
黑色地下產業鏈
在釣魚網站與病毒木馬頻發的背後,是網路支付詐騙行業背後的暴利。
此前據獵網平臺於2015年11月5日釋出的首個《現代網路詐騙產業鏈分析報告》顯示,去年1-9月,共接到全國網民舉報網路詐騙案件20086起,涉案金額高達8901萬元,人均損失4431元。
而據其初步統計,網路詐騙產業的從業人數至少有160萬人,“年產值”超過1100億元。
據記者瞭解,獵網平臺由北京市公安局網路安全保衛總隊與360網際網路安全中心聯合發起成立,目前是國內第一個網路詐騙全民舉報平臺。
而在高昂利潤的驅使下,網路支付詐騙早已形成了一條完整的黑色地下產業鏈。
上述業內人士對記者表示,在這套產業鏈上有負責製作網站的開發者,負責批發零售的“包馬人”,還有實施“種馬”的拉單人,以及最後的洗白銷贓環節。
“這是一個很完整的產業鏈。行騙的是一批人,做網站的是另一批人,之間都互不瞭解,也根本不需要見面,全在網上進行交易。”他對記者說。
據記者瞭解,在這條地下產業鏈中,涉及支付類的病毒木馬售價通常高達數千元甚至上萬元。而且通常還帶有使用期限,到期需要再度續費。
但高價並不能阻礙“包馬人”的熱情,因為這其中的利益更為豐厚。
據記者瞭解,此前被宣判的浮雲木馬的製作人,在兩個月裡得到了20萬元的收入。而他開發的浮雲木馬則涉嫌竊取了數百名網銀使用者的上千萬元。
而此前據記者登陸淘寶網發現,有眾多搶紅包神器出售,價格從幾元到幾千元不等。而這些搶紅包軟體往往被植入木馬,一旦安裝就可以用它來收集使用者的隱私資訊、盜取賬號等。
李鐵軍也對記者表示:“這一行業一條龍下來的很少,大部分都是相互拆開。交易的方式也很成熟。”他同時還表示,微信內建的安全功能會對紅包木馬植入自動進行大規模攔截,因此紅包木馬不會是主流的欺詐方式。
網路支付的複雜心情
用風聲鶴唳、草木皆兵來形容使用者對網際網路支付的複雜心情,並不為過。
一個典型的例子,是今年1月10日晚上,微信錢包使用者大規模解綁銀行卡的蝴蝶效應。
當晚微信朋友圈被微信公開課PRO版的“我和微信的故事”刷屏,而有關應用連結會盜取微訊號和支付寶號的謠言也隨之擴散。
雖然各方隨即都進行了闢謠,但“微信之父”張小龍曾在隨後的釋出會上感慨,“很多,真的是很多,是百萬級的使用者開始提現、解綁自己的銀行卡了,我們這個伺服器也幾乎掛掉了。”
解綁事件無疑折射出使用者對網際網路支付風險的警惕。而這種警惕,則是源於層出不窮的網際網路安全資訊風險中監管的缺失。
事實上,想要做到對網際網路支付的完全監管並不容易。
李鐵軍對記者表示,網路支付詐騙越過了幾種監督渠道。“比如偽基站是透過騙子手中自身的裝置傳送,繞過了運營商的網路,根本無法發現,成本還很低。”
據記者瞭解,偽基站傳送的簡訊號碼可以隨便定義。詐騙者將帶有惡意連結的簡訊偽裝成銀行、電信的常用客服號碼傳送,具有極大的隱蔽性和欺騙性。
此外,網際網路支付詐騙的風險很小。
獵網平臺分析顯示,網路詐騙地下產業規模之所以迅速擴大,主要是由於網路詐騙犯罪具有異地作案、小額多發、取證困難等特點,打擊難度大。
此外,目前針對網際網路支付產業鏈的相關法律還並未到位。而對移動支付過程中的金融風險監管也存在缺位。
而上述業內人士也對記者表示,由於產業鏈上各條分工嚴密,異地作案,很難追查到釣魚網站或者木馬背後的利益相關者。
網際網路支付的未來
儘管監管難以到位,但隨著網際網路支付規模,特別是移動支付規模的不斷增長,解決支付安全風險迫在眉睫。
在今年的全國兩會上,騰訊CEO馬化騰提出建議,要重點打擊電信網路詐騙等新型犯罪。加大刑事案件打擊力度,遏制網路駭客犯罪的蔓延趨勢。
此外,他還提出,企業要建設共同治理網路安全的生態體系。
其中,網際網路企業應發揮大資料分析、雲端計算和雲端儲存能力,對使用者行為建立模型。而電信運營商則應禁止網路改號電話等非法運營專案,加強對偽基站的打擊配合和重點地區的線路排查,清理二手4G卡買賣市場,落實手機卡實名制等等。
事實上,國家相關機構已經從法律和網路上對網路支付的風險作出限定。
在2015年6月底,十二屆全國人大常委會第十五次會議已經審議了《網路安全法(草案)》,並於7月初向社會公開徵求意見。
而《草案》的重要內容則包括,將我國公民個人資訊保護納入法律正軌。
此外,在去年7月31日,央行在其網站公佈了《非銀行支付機構網路支付業務管理辦法(徵求意見稿)》。該《管理辦法》傳達了明確的監管意見:鼓勵支付機構定位於支付通道,限制賬戶功能,賬戶功能僅限於小額支付。
但李鐵軍對記者說:未來網際網路支付詐騙依然會很嚴重,中國是移動支付做得最好的國家,問題是網民的安全意識還很薄弱。
他對記者表示,病毒的技術含量並不高,如果使用者提高防範意識,不隨意點選簡訊裡的陌生連結,不在釣魚網站輸入個人資訊,則不會對使用者的財產安全造成損害。
他同時對記者表示,從技術上來說,也不可能消除支付詐騙。“騙子總是會隨著時代的發展而更新騙術,常騙常新。”
事實上,隨著微信的廣泛應用,微信虛假公眾賬號詐騙,微信投票、點贊詐騙,微信掃碼關注等新興詐騙方式已經興起。而網際網路支付的安全之路還任重而道遠。